Устранена критическая уязвимость в WordPress 4.2

29/04/2015 13:33

Сразу после релиза новой версии популярной системы управления блогом WordPress 4.2, в сети была обнаружена хакерская атака, нацеленная на незакрытые в ней XSS-уязвимости. Примечательно, что о возможной атаке, эксперты предупреждали разработчиков WordPress еще в ноябре 2014 года. Тогда, разработчики не предали должного внимания столь критическим уязвимостям. Наличие уязвимости подтверждено в WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Ошибки содержались в модуле обработки комментариев, алгоритм усечения до 64 Кбайт, позволял инициировать выполнение произвольного JavaScript-кода при его отображении на страницах блога. В ходе обнаруженной атаки, производилась попытка создания нового пользователя с правами администратора, которая реализовывалась при просмотре вредоносного комментария администратором блога. Разработчики оперативно устранили уязвимость, выпустив WordPress 4.2.1. Всем владельцам блогов на уязвимых версиях WordPress рекомендуется произвести обновление до последней версии, а также проверить список активных администраторских аккаунтов.
Источник